Wer kennt es nicht: Daten werden über E-Mails und verschiedene Tools täglich mit unterschiedlichen Abteilungen geteilt, darunter auch sensible Daten. Doch was muss in Zeiten der DSGVO beachtet werden, um keine hohen Bußgelder zu riskieren?
Die DSGVO kennt kein generelles Konzernprivileg. Verbundene Unternehmen innerhalb eines Konzernverbunds werden genauso behandelt wie völlig eigenständige Unternehmen. Dies kommt beispielsweise bei der Übermittlung personenbezogener Daten zwischen zwei Unternehmen der gleichen Unternehmensgruppe oder bei der Nutzung sogenannter „Shared Services“ zum Tragen. Letzteres ist der Fall, wenn eine Gesellschaft im Konzernverbund Leistungen für andere, verbundene Unternehmen erbringt, beispielsweise im Personalbereich.
Deshalb ist die Übermittlung oder der Austausch personenbezogener Daten innerhalb eines Konzernverbunds nicht ohne weiteres zulässig und bedarf einer entsprechenden Rechtsgrundlage. Dies kann der Fall sein, wenn die Übermittlung zur Erfüllung eines Vertrags notwendig ist, eine Einwilligung zur Datenübermittlung des Betroffenen vorliegt oder wenn das Unternehmen nach einer Abwägung ein berechtigtes Interesse an der Übermittlung hat.
Keine Zeit zu lesen? Hier mehr Informationen anfordern
Über DataGuard:
DataGuard ist ein Datenschutz- und Legal-Technology-Unternehmen mit Hauptsitz in München. Wir helfen Unternehmen dabei, ihren Datenschutz pragmatisch umzusetzen. Über 100 Mitarbeiter beschäftigen sich leidenschaftlich mit Datenschutz, Compliance und IT-Sicherheit und unterstützen Sie dabei, Ihre Prozesse effizient und möglichst unkompliziert DSGVO-konform zu gestalten. Deutlich über 1.000 Geschäftskunden vertrauen unserer „Privacy-as-a-Service“ Lösung – einem Hybrid aus individueller Kundenberatung und Nutzung unserer eigens entwickelten Software-as-a-Service-Plattform.
Der Begriff des Konzerns und das „kleine Konzernprivileg“
Der Begriff des Konzerns bzw. der Gruppe von zusammengehörigen Unternehmen wird in Art. 4 Nr. 19 DSGVO als ein Verbund aus einem herrschenden Unternehmen sowie weiterer abhängiger Unternehmen definiert. Erwägungsgrund 48 erkennt „interne Verwaltungszwecke“ als ein berechtigtes Interesse an, um innerhalb einer Unternehmensgruppe personenbezogene Daten zu übermitteln. Dies wird auch als „kleines Konzernprivileg“ bezeichnet. Werden personenbezogene Daten zwischen Unternehmen des Konzerns im Auftrag und zur weisungsgebundenen Verarbeitung übertragen, so ist auch dabei ein Auftragsverarbeitungsvertrag (AVV) notwendig.
Allerdings räumt Erwägungsgrund 48 ein sogenanntes „kleines Konzernprivileg“ ein. Er stellt klar, dass gerade Unternehmensgruppen ein berechtigtes Interesse daran haben können, personenbezogene Daten innerhalb der Gesellschaften eines Konzerns oder einer Unternehmensgruppe zu übermitteln. Dies gilt für Daten von Mitarbeitern, Kunden und Lieferanten, also für alle drei Kategorien personenbezogener Daten. Der Begriff des „berechtigten Interesses“ stellt eine Auffangklausel dar, wenn keine der anderen Rechtsgrundlagen einschlägig ist. Es sollte das Ergebnis einer Interessenabwägung sein zwischen den Interessen des Verantwortlichen und der Betroffenen, dessen personenbezogene Daten übermittelt werden. Generell ist der Begriff jedoch weit auszulegen und wenn bereits ein Rechtsverhältnis zwischen den Parteien besteht, kann ein berechtigtes Interesse gegeben sein.
Betriebsvereinbarung, gemeinsame Verantwortlichkeit und Datenschutzrichtlinie
Eine weitere Möglichkeit, die Datenübermittlung in einem Konzern zu regeln, stellen Betriebsvereinbarungen dar. Hierzu ist die Öffnungsklausel des Art. 82 DSGVO einschlägig, die es zusammen mit dem passenden Erwägungsgrund ermöglicht, eine Kollektivvereinbarung zu schaffen, die unter Berücksichtigung des Schutzes der personenbezogenen Daten der Beschäftigten die Datenübermittlung im Konzern regelt.
Auch eine konzerninterne Vereinbarung zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO ist denkbar. In der wird klar geregelt, welche Gesellschaft für welche datenschutzrechtlichen Aspekte bei der Datenübermittlung über Unternehmensgrenzen hinweg letztendlich verantwortlich ist. Außerdem legt sie fest, wer über die Mittel und Zwecke der Verarbeitung der betroffenen personenbezogenen Daten entscheidet.
Als letzte Möglichkeit ist auch eine gemeinsame Datenschutzrichtlinie denkbar. Diese regelt innerhalb der Unternehmensgruppe oder des Konzerns wie die Datenübermittlung zu erfolgen hat und welche Anforderungen damit erfüllt werden müssen.
Was bedeutet das für die Datenübermittlung im Konzern?
Zusammenfassend lässt sich festhalten, dass die Datenübermittlung zwischen verschiedenen Gesellschaften innerhalb eines Konzernverbunds durch die DSGVO ähnlichen Anforderungen unterliegt wie bei unverbunden Unternehmen. Jedoch gibt es einige Möglichkeiten, diese Übermittlung adäquat, pragmatisch und effizient zu gestalten.
Sie wollen sich vor hohen Bußgeldern schützen? Jetzt Expertengespräch vereinbaren